責任ある摘発プログラムに関する方針
当社において、ユーザーデータのセキュリティは最優先事項です。この「Responsible Disclosure Program」のページの目的は、当社の潜在的な脆弱性を発見したと考えた際に必要となる情報を理解していただくことです。 当社はトップレベルのセキュリティを提供することを約束し、その目的にご理解・ご協力くださる皆様に心から感謝しています。責任を持って摘発に取り組んでいただくためにも、以下の事項の遵守をお願いいたします:
- 提出は全てこのページの下にあるリンクからご登録していただくIntigritiのプラットフォームを通して行ってください。
- いかなる摘発も、可能な限り早期に行うようにしてください。早期の摘発は、セキュリティー上の問題をいち早く解決するだけでなく、報酬を受け取ることを可能にしてくれます(該当時)!
- 全ての報酬は、Intigritiの利用規約に従って管理され、評価ポイントの形で付与されます。詳細は以下のページよりご確認いただけます:https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
- ソーシャルメディアや刊行物などを通した脆弱性に関する一般への公開は、コミュニティにリスクをもたらすことになりますので、これを内密に取り扱ってください。また、あらゆる問題を早期に解決するために、すべての摘発は「Responsible Disclosure Program」に従って行ってください。これに従われなかった場合、当社は法的措置を講じたり、報酬を差し控えたりする権利を留保しています。
- 脆弱性を発見した際にRevolutの顧客や従業員の個人情報を手にしてしまった場合は、下記フォームにて摘発後、ただちにこれを破棄してください。個人情報はいかなるものでも個人の特定につながる可能性もあります。
- 脆弱性を報告する際に行った調査は、いずれも違法な手段によって入手されたものであってはいけません。
よくある質問
報告すべきでないことは何ですか?
- Sender Policy Framework(SPF)DKIM、DMARC の設定に関する提案
- 既知のファイルやディレクトリの公開(e.g. robots.txt)
- PoCのない共通・公共サービスのバナー公開
- セキュリティヘッダーの構成、またはヘッダーの欠落
- 機密性のないCookieにSecure/HTTPOnlyフラグが設定されていない - フィッシングやソーシャルエンジニアリングによる攻撃
報酬はありますか?
Intigritiによる認証が完了しましたら、「https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak」での説明の通り、Intigritiの評価ポイントが送られます。
摘発後、連絡いただける日時をご教示くださいますでしょうか?
ご提出内容は72時間以内に承認されます。その後、通常5営業日以内に届く連絡を受け取られた際に、摘発内容の確認が必要となります。
摘発後、脆弱性について何かしらの公表を行うことはできますか?
コミュニティ保護のため、詳細については秘密厳守でお願いいたします。これは、Intigriti’s Researcherの利用規約(https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions)に沿ったものです。この件に関してご質問がある場合は、Intigriti(support@intigriti.com)までご連絡ください。